通信数が異常なんですが…

こんばんは　セキュリティソフトの通信ログを見たら
方向　受信
送信元ポート　１９００
リモートポート　１９００
プロトコル　ＵＤＰ（17）
発信元ＩＰ　239.255.255.250
がすごい数　ログが残っていてびっくりしました。先週はこんなログはありませんでした。
検索してみたら「WindowsXPなどが利用しているユニバーサルプラグ＆プレイ（UPnP）が、他のUPnP機器を検索するために送信しているパケット」だそうですね。
それで、そのサイトに載っていた方法でSSDP Discovery Serviceを無効にしてみました。
まだ再起動してないので、履歴が増えてますが…

無効にしてしまいましたが、これでいいのでしょうか？
無効にすると何か使えなくなるアプリケーションなどあるのでしょうか？
教えていただけると嬉しいです。よろしくお願いします。


　

No.4 ベストアンサー 回答者： noname#35006 回答日時： 2007/05/13 21:04

単純に、お使いのケーブルモデムにルータ機能があって、UPnP機能が有効になっているということはありませんか？

状況はIPアドレス192.168.2.1のUPnP対応機器からマルチキャストアドレス宛(239.255.255.250）に、
パケットを送信して他のUPnP対応機器を探してる状態です。
http://www.itmedia.co.jp/help/tips/windows/w0489 …

我が家のルータもUPnP機能を有効にすれば、そのようなパケットが家庭内LANにバンバン送信されます。

ケーブルモデムにそのような機能はなく、お使いのPCとモデムは直結されている場合は
他のケーブルネットワークユーザ（またはケーブルネットワーク会社そのものが）が
ネットワーク内にそのような機器を設置しているということが考えられます。
この場合はケーブルネットワーク会社のサポートに問い合わせをされるほうがいいと思います。

この回答への補足

ＰＣとモデムは直結です。
プロバイダの説明書を読んでみると「ブロードバンドルータを使用する場合」の補足が書ったので、もしかしたらルータ機能がついてないのかもしれません。
でも、これは個人で買った場合なのでプロバイダに聞かないとわかりませんね。
やはりプロバイダのサポートに問い合わせた方がよさそうですね。

アクセス数が多すぎて気持ち悪いので早くなんとかしたいです。

補足日時：2007/05/13 23:04

この回答へのお礼

補足が使えないので…
プロバイダに問い合わせました。機能はないという事でした。それで、セキュリティ更新のMS01-059、MS07-019をインストールをしてみてくださいとのことで電話を切りました。が前者はSP1みたいで「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」とでてダウンロードができない。後者はインスト済。また問い合わせするしかない^_^;

お礼日時：2007/05/16 22:43

No.12 回答者： noname#35006 回答日時： 2007/05/20 23:50

> 「　」内のが表示されてなくてアイコンとローカルエリア接続しか表示されていない。

う～ん。。。上の部分の「表示」をクリックして「並べて表示」「アイコン」とか
「アイコンの整列」で状態とかいろいろ組み合わせるとそのようなことも起こるかな？
気になるようでしたら、いろいろと変えて表示してみてください。
たまに「最新の情報に更新」しないとな～んか変というのは私のPCでも起こります。

> お気楽に考えないとすると…
お気楽じゃないのは思いつきません。(;^_^A
ケーブルネットワーク会社側で気が付いてそういったパケットを遮断するようにしたとか。

この回答へのお礼

数日様子をみましたが、履歴に残らなくなったので締め切りますね。
色々とありがとうございました。
また何か合ったときはよろしくお願いします。

お礼日時：2007/05/23 00:07

No.11 回答者： noname#35006 回答日時： 2007/05/20 07:03

> セキュリティソフトの履歴にそのログはありませんでした。

お気楽に考えると、配線を間違えていた御近所ユーザがようやく間違いに気づいたとか。

> もうしばらく様子をみてみます。
はい。それしかないですね。


> このページの２のところ。ローカルエリア接続の表示がこう表示されるはずなのですが、
> 今日はローカルエリア接続しか表示がないんです…
うう。。。どういう状態かわからないんですが、
ローカルエリア接続のプロパティは確認できるんですよね？
［コントロールパネル（C）］→［ネットワークとインターネット接続］→ [ネットワーク接続］
の画面で「ローカルエリア接続」のアイコンが表示されないってことですか？


Windows Server 2003 と Windows XP でネットワーク接続アイコンがなくなる問題をトラブルシュートする方法
http://support.microsoft.com/default.aspx?scid=k …
| 2.必要なサービスが開始されていることを確認します。
| 　Remote Procedure Call (RPC)
| 　Network Connections (このサービスは RPC サービスに依存しています)
| 　Plug and Play
| 　COM+ Event System (このサービスは RPC サービスに依存しています)
| 　Remote Access Connection Manager (このサービスは Telephony サービスに依存しています)
| 　Telephony (このサービスは RPC サービスおよび Plug and Play サービスに依存しています)
Universal Plug and Play Device Host/SSDP Discovery Serviceサービスを無効にするさい
他のサービスも間違って無効にしちゃったとか？

この回答への補足

アイコンがありその隣に「有効　ファイアウォール　その下に英語」のが表示されている。
「　」内のが表示されてなくてアイコンとローカルエリア接続しか表示されていない。
有効とかがなかった。
でも今日はちゃんと表示されていました^_^;

＞お気楽に考えると、配線を間違えていた御近所ユーザがようやく間違いに気づいたとか。
お気楽に考えないとすると…

補足日時：2007/05/20 23:04

No.10 回答者： FMVNB50GJ 回答日時： 2007/05/18 07:47

F-Secure Blacklight

たぶん、通常は、管理者権限のアカウントでしょう。
--------------------------------------------------
「ＭＳ01-059がＳＰ１みたいで・・・」
要するに、マイクロソフトアップデートを完了しているか、手動で確認しては、と言うことです。SP2なら必要ないですね。

windows ファイアーウォールを有効にしていたとき、例外タブのいくつかのものがチェックが入ります。
windowsファイアーウォールを無効にするときに、例外タブのすべてのチェック(たとえばUPnPフレームワーク)をはずし、icmpの設定でもチェックがあればはずし、それからコントロールパネルのwindowsファイアーウォールを無効にします。念のため、サービスでも無効にする。Windows Firewall/Internet Connection Sharing (ICS)

windowsファイアーウォールが無効になった場合、コントロールパネルのwindowsファイアーウォールのアイコンをクリックすると、無効になっているので有効にしますか、と言う旨の通知が出る。出ないならちゃんと無効になっていないと思われる。
---------------------------------------------------------

{例えばＷＭＰとかＭＳＮメッセンジャーとかでしょうか？
他にもあるのでしょうか？}
マイクロソフトアップデートしてください。
ほかのものは、あなた自身がよく知っていなければならないことです。
たとえば、コントロールパネルにJAVAがないですか。クリックして、アップデートのところまで行って、確認しては。
-----------------------------------------
特に重要な問題ではなさそうですね。

この回答への補足

昨日、起動したら通信はしていませんでした。
履歴にも表示されない。
止まったってことでしょうか…
もうしばらく様子をみてみます。

F-Secure Blacklightのスキャンが案外　早く終わったのですが…
ウィルススキャンみたいに時間がかかるのかと思ってました。
これはセーフモードでもスキャンしてみたほうがいいですか？

補足日時：2007/05/19 22:58

この回答へのお礼

数日　様子をみましたが履歴に残らなくなりましたので、締め切ります。

何度も回答いただきありがとうございました。
またよろしくお願いします。

お礼日時：2007/05/23 00:09

No.9 回答者： noname#35006 回答日時： 2007/05/18 06:08

> 覗かれてるってことですか？

いえいえ、他のユーザがルータの配線を間違えても、覗かれたりはしませんが、
お使いのケーブルネットワークでのIP取得方法がDHCPでの取得の場合、
その間違った配線のルータのDHCP機能により、変なプライベートIPアドレスを
7popo7さんのPCがつかまされてしまう恐れがあります。

昔のY!BBの偽DHCP疑惑と書きましたが、現在のY!BBはたとえ配線を間違っても
偽DHCPパケットが他のユーザまで飛んでくることはありません。
なのでお使いのケーブルネットワークでも対処済みであれば問題ありません。


> それで詳細設定からファイアウォールを見て有効になっているのを確認してＯＫを押すと接続・ファイアウォールとでる。
これはWindowsのファイアウォールを有効にした場合だと思いますが、
通常セキュリティ対策ソフトのファイアウォールを使っていれば、
Windowsのファイアウォールは無効にします。
コントロールパネルのセキュリティセンターで表示されるファイアウォール 有効　の横の○に矢印を
クリックするとインストールされているソフトウェアが表示されます。

> ＭＳネットワーク用ファイルとプリンタ共用のチェックをはずしたからですか？
いえそれが原因ではありません。

セキュリティ対策ソフトのファイアウォールとWindowsのファイアウォールの両方を有効にしてしまっているのではないかと思います。

ファイルとプリンタ共用は無効にしておいてください。
Y!BBの参考ページですが
https://ybb.softbank.jp/support/setup/adsl/windo …
下のほうにある TCP/IP詳細設定で
［WINS］タブで［NetBIOS over TCP／IPを無効にする（S）］をチェックして［OK］をクリックします。
もやっておいたほうがいいと思います。

この回答への補足

もう一度問い合わせしようと思い、起動したらセキュリティソフトの履歴にそのログはありませんでした。止まったってことでしょうか。
もうしばらく様子をみてみます。

参考ページで確認しましたが無効になっていました。
気になることが１つ。このページの２のところ。ローカルエリア接続の表示がこう表示されるはずなのですが、今日はローカルエリア接続しか表示がないんです…　何故だ…　左の詳細にはちゃんと書いてあるんですけど…

補足日時：2007/05/19 23:15

No.8 回答者： noname#35006 回答日時： 2007/05/17 11:51

#4です。

お使いのケーブルモデムにルータ機能がない件了解しました。
かつ、ケーブルネットワーク会社がそのような機器をネットワーク内に設置していないとすると、
残りはご近所の同じケーブルネットワークユーザが間違った（かなり怖い）配線をしているんじゃなかろうかと。

具体的には、ケーブルモデムからのLANケーブルをルータ機能を使わずに使う為に、
ルータのLAN側ポートに接続しているんじゃないかと思います。
（無線アクセスポイント機能のみを使う場合これで無線LANが使えます。）
んで、そのルータのLAN側IPアドレスが192.168.2.1でありUPnP機能が有効。

ここまでは、7popo7さんのPCがUPnP機能無効で、かつファイアウォールでパケットを弾いていれば、
なんら問題はありません。
しかしもしも、ルータのDHCP機能も有効だったりするとかなり嫌な状況ではないかと思います。
（昔のY!BBの偽DHCP疑惑を思い出してしまいました。）

サポートに粘って交渉して、できれば7popo7さんのご自宅のモデムにどのようなパケットが飛んできているのか、
サポートに確認してもらったほうがいいと思います。

この回答への補足

覗かれてるってことですか？

ネットワーク接続のローカルエリア接続＆1394接続の表記が接続だけになっているんです。接続の脇にファイアウォールってでますよね。
それで詳細設定からファイアウォールを見て有効になっているのを確認してＯＫを押すと接続・ファイアウォールとでる。
ＭＳネットワーク用ファイルとプリンタ共用のチェックをはずしたからですか？関係ないですか？
ちょっと気になる点。

補足日時：2007/05/17 22:56

No.7 回答者： FMVNB50GJ 回答日時： 2007/05/17 06:21

マイクロソフトの更新は、手動で確認するしかないですね。

「ＭＳ01-059がＳＰ１みたいで・・・」
これがわからない。
---------------------------------------------
発信元ＩＰ　239.255.255.250　リモートＩＰ192.168.2.1
送信元ポート　１９００　リモートポート　１９００

http://www.tef-room.net/trouble/upnp1.html
「このトラフィックは、ルーターからLANに接続しているパソコンへ送信され、送信元ポート1900・送信先239.255.255.250・送信先ポート1900として流れて、パーソナルファイアーウォールの警告に表示されてしまいます。」
参考

「プロバイダに問い合わせました。機能はないという事」
つまり、ルーターではない？
なのに「リモートＩＰ192.168.2.1」と言うのは、？？

ログが記録されるとはのパターンあり？
使用しているネットを使うソフトの更新がないかを確認することも重要。

この回答への補足

＞マイクロソフトの更新は、手動で確認するしかないですね。
「ＭＳ01-059がＳＰ１みたいで・・・」
これがわからない。
http://www.microsoft.com/japan/technet/security/ …
の詳細情報のＸＰ文書番号315000を選択　日本語のとこを選択すると「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」翻訳するとダウンロードできません。
ＭＳ01-059はＳＰ１の時ようで、ＳＰ２ではこれがすでに修正されている。それがもう1つのＭＳ07-019なのではないでしょうか？

＞つまり、ルーターではない？
なのに「リモートＩＰ192.168.2.1」と言うのは、？？
私にもわかりません＞＜

＞ログが記録されるとはのパターンあり？
使用しているネットを使うソフトの更新がないかを確認することも重要
例えばＷＭＰとかＭＳＮメッセンジャーとかでしょうか？
他にもあるのでしょうか？

F-Secure Blacklightをやってみましたが何もありませんでした。
ユーザーごとにスキャンするものですか？
１台のＰＣなので誰かのところでスキャンすれば大丈夫ですよね？

補足日時：2007/05/17 22:35

No.6 回答者： FMVNB50GJ 回答日時： 2007/05/16 06:51

補足

F-Secure Blacklight
こちらではいつも管理者権限でログオン、通常の起動でスキャンしています。

ノートンセキュリティチェックが大丈夫だったようで、念のためにウイルスチェックもしてはどうですか？

それとWindows XP SP2なのか確認したほうが？

この回答への補足

通常起動でネットに接続しながらスキャンでＯＫということですね。
これでも効果ありますか？

カスペルスキーオンラインスキャンをしてみたところ何も発見されませんでした。
ノートンオンラインも試した方が良いですね。

補足日時：2007/05/16 23:07

No.5 回答者： FMVNB50GJ 回答日時： 2007/05/16 01:21

「後者はSP1でセキュリティ更新のMS07-019をダウンロードができない。

」

windows XP SP1ということですか？

ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019)
http://www.microsoft.com/japan/technet/security/ …

やはりSP1だとまともな更新できないということですね。

「ＯＳはＸＰ（ＨＯＭＥ）　ＳＰ２」
？？？
セキュリティ更新のMS07-019をダウンロードできるはず。

その問題をはっきりさせては？

マイコンピューター　プロパティ
システムは何とかいてあるでしょうか？

今も異常な通信が続いているのでしょうか？

この回答への補足

すみません逆でした。ＳＰ２使用です。
ＭＳ01-059がＳＰ１みたいでアクセスすると「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」利用できませんとでてます。
ＭＳ０７－０１９はインスト済で、確認のため高速アップデートをしてみても更新はなし。なのでちゃんと入ってるのだと思います。

今も通信は続いています。なんなんでしょう…

補足日時：2007/05/16 22:43

No.3 回答者： FMVNB50GJ 回答日時： 2007/05/13 07:37

Spybot - Search & Destroyを使用しています

ClamWin Antivirusも使用しています。これは非常駐で普段は定義の更新しかしませんし、ウイルスが入っても感知しません。

当方単なるモデムです。
ルーターの場合、IEでルーターにアクセスし、ルーターでネット接続を設定します。単なるモデムの場合、パソコンでいろいろ設定する。
つまり、ネット接続は、ルーターが行う。ルーターはコンピューターと同じです。
ルーターは、そのようなおかしなパケットを遮断すると思いますが。
ルーターの中には、ルーター機能を無効にできるものがある。

「すごい数受信」は今もあるということですか？
いずれにせよ、ソースのやつを信用することですね。

チェックですが、当方入れていません。

windows XP SP2のファイアーウォールは当然無効にしていると思いますが。

P2Pソフトを使用しているなら、それを削除することを勧めます。

この回答への補足

システムの復元で今月のウィンドウズアップデートした日に戻してみましたが、変わりませんでした。SSDP Discovery ServiceとUniversal Plug and Play Device Hostを無効にしても通信は止まりません。

プロバイダーの説明書を確認したところ、ブロードバンドルータを使用する場合の補足が書いてあったので、このモデムの中にはルータ機能がついてないのかもしれません。

コンポーネントのネットワークのチェックですが、詳細の「インターネットゲートウェイデバイスの検索とクライアントの制御」にだけチェックが入っています。0.0ＭＢなのにチェックが入っている…

windowsのファイアウォールも有効にしてました。これを無効にすればよいのですね。

補足日時：2007/05/13 22:47

この回答へのお礼

補足が使えないので…

プロバイダに問い合わせました。機能はないという事でした。それで、セキュリティ更新のMS01-059、MS07-019をインストールをしてみてくださいとのことで電話を切りました。が前者はインスト済　後者はSP1でダウンロードができない。また問い合わせするしかない^_^;

紹介いただいたF-Secure Blacklightを入れてみました。
これはセーフモードでスキャンしたほうが良いのですか？複数で使ってるのですがユーザーごとですか？セーフでアドミンでスキャンでいいのですか？注意点などありましたらアドバイスお願いします。

お礼日時：2007/05/15 22:48